Depuis la révolution du numérique, le nombre d’infractions relevant de la cybercriminalité ne cesse d’augmenter. Les méthodes utilisées par les hackers sont toujours de plus en plus sophistiquées et diversifiées : rançongiciels, escroqueries à l’investissement en cryptomonnaie ou encore piratage de courriels ou comptes de réseaux sociaux. Or le piratage de son compte Facebook ou Instagram peut être très préjudiciable pour la victime et ses proches. Dès lors, quelle est la procédure juridique pour récupérer son compte piraté ?
I. Qu’est-ce que le piratage informatique ?
Le piratage informatique constitue un délit au sens du Code pénal. Plusieurs infractions sont liées au piratage informatique :
- L’accès ou le maintien frauduleux dans système de traitement automatisé des données (STAD) est puni de 2 ans d’emprisonnement et de 60 000 ¤ d’amende (article 323-1 du Code pénal). Par exemple, se rend coupable d’une telle infraction une personne qui, sachant qu’elle n’y est pas autorisée, pénètre dans un STAD[1].
- Le fait d’entraver ou de fausser le fonctionnement d’un STAD est puni de 5 ans d’emprisonnement et de 150 000 ¤ d’amende (article 323-2 du Code pénal). Par exemple, une attaque par déni de service, qui consiste à saturer de requêtes un serveur informatique sur lequel repose un site internet, constitue une entrave au fonctionnement d’un STAD[2]. L’implantation et l’usage de botnets peuvent également relever de cette incrimination.
- Le fait d’introduire, extraire, détenir, reproduire, transmettre, supprimer ou modifier frauduleusement des données dans un STAD ou de supprimer ou de modifier les données qu’il contient, est puni de 5 ans d’emprisonnement et de 150 000 ¤ d’amende (article 323-3 du Code pénal). Par exemple, la modification des données a été retenue lorsque le hacker accède à un STAD et modifie les données des comptes clients de sites marchands[3].
- Le fait d’importer, détenir, offrir, céder ou de mettre à disposition un équipement, un instrument, un programme informatique pour atteindre un STAD est puni de 5 ans d’emprisonnement et de 150 000 ¤ d’amende (article 323-3-1 du Code pénal). Par exemple, a été condamné au visa de cet article le gérant d’une société spécialisée dans le conseil en sécurité informatique qui avait diffusé sur le portail de sa société des écrits directement visibles sur le site et accessibles à tous permettant d’exploiter les failles de sécurité informatique[4].
- La participation à un groupement formé ou à une entre établie en vue de la préparation d’une ou de plusieurs infractions prévues par les articles 323-1 à 323-1 est punie des peines prévues pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée (article 323-4 du Code pénal). Sont visés ici les cyber-associations de malfaiteurs.
Le piratage informatique, et notamment le piratage de comptes de réseaux sociaux, peut également constituer un cas d’usurpation d’identité. L’article 226-4-1 du Code pénal réprime ce délit en punissant d’un an de prison et 15 000 ¤ d’amende.
Pour conclure, le piratage informatique est largement appréhendé et sanctionné en droit français. Toutefois, ces infractions demeurent le plus souvent impunies étant donné que les hackers sont rarement identifiables.
II. En cas de piratage informatique : que faire ?
Alors que les cas de piratage sur internet sont de plus en plus nombreux, il est nécessaire de connaître la procédure à suivre en cas d’attaque :
Tout d’abord, il convient de sécuriser le compte piraté en modifiant le mot de passe afin que le hacker ne puisse plus se connecter. Si l’accès au compte est impossible, les plateformes offrent généralement la possibilité de réinitialiser le mot de passe à partir de la page d’authentification (« Mot de passe oublié »). Si le hacker a réussi à modifier les données personnelles de récupération, il est préférable de contacter directement la plateforme concernée pour signaler le piratage du compte.
En cas de piratage informatique, il pourrait être tentant de porter plainte auprès de la Commission nationale de l’informatique et des libertés (CNIL). Mais les problèmes de piratage ou d’intrusion dans les STAD ne relèvent pas de la compétence de la CNIL. Toutefois, il peut être utile de signaler ce piratage sur la plateforme gouvernementale de cyber malveillance ou de signalement.
La victime peut déposer une plainte pénale auprès de la police, de la gendarmerie ou du procureur de la République dans les six ans à compter de l’infraction. Il est également possible de faire une « pré-plainte » en ligne. Si la victime ne connait pas l’auteur de l’infraction, ce qui est souvent le cas dans les affaires de piratage informatique, elle doit porter plainte contre X. Si l’auteur de l’infraction est identifié, il pourra être jugé et éventuellement condamné par le Tribunal.
Afin que la plainte aboutisse, il est nécessaire de réunir les preuves du piratage, telles que les adresses URL des profils concernés, des captures d’écran du faux profil et de ses publications… C’est pourquoi, il est recommandé de ne pas effacer les publications faites par le fraudeur afin que les enquêteurs puissent constater les faits.
Dans le cas d’une action devant la justice, il peut être utile de faire appel à un professionnel du droit afin d’accompagner la victime dans le dépôt de sa plainte.
[1] Cass. crim. 16 janvier 2018 n° 16-87.168
[2] Cass. crim. 7 novembre 2017 n° 16-84.918
[3] TGI Paris 13ème ch. corr. 20 novembre 2018
[4] Cass. crim. 27 octobre 2009 n° 09-82.346
Dossier très complet et informatif